Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 22 мая 2016 г.

PClock, PClock2

PClock и PClock2 Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью алгоритма XOR (больше запутывая, чем шифруя), используя постоянный ключ на всех системах, а затем требует 1 биткоин за расшифровку. PClock подражает "старшему брату", вымогателю CryptoLocker, давно отключенному, выводит требование в записке от его имени, утверждая, что шифрует данные с помощью алгоритма AES-256 с RSA-2048 ключом, но сам по сути довольно примитивен по функционалу. 
 

  PClock даёт жертве на уплату выкупа 72 часа, в противном случае угрожает уничтожить ключи дешифровки. Есть предупреждение, чтобы отключили антивирус, который может удалить это ПО и помешать получить ключ дешифрования. В каждой папке с зашифрованными файлами помещается записка о выкупе enc_files.txt. В дикой природе PClock начал свою "деятельность" в начале 2015 года. 

  Не совсем понятно, как PClock, написанный на Visual Basic 6, попадает в систему пользователя. Вероятно с загрузками файлов, После запуска он копирует себя в папку AppData текущего пользователя, используя вложенную папку "WinCL" и имя исполняемого файла "WinCL.exe". Затем он прописывается в Автозагрузку системы, создав новое значение с именем "wincl" в ключе HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run . 

  Потом PClock пытается удалить все теневые копии файлов, чтобы затруднить их восстановление. Из-за примитивизма вымогателя иногда они всё же остаются. 

Список файловых расширений, подвергающихся шифрованию:
.3fr, .accdb, .ai, .arw, .bay, .cdr, .cer, .cr2, .crt, .crw, .h, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pef, .pem, .pfx, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .srf, .srw, .wb2, .wpd, .wps, .xlk, .xls, .xlsb, .xlsm, .xlsx

  Все свои действия PClock записывает и отправляет на C&C-сервер: файлы зашифрованы, статус ОК, теневые копии удалены, обои изменены, ОК и пр. 


   PClock2 Ransomware — вторая версия одноименного вымогателя, шифрует файлы, используя случайным образом сгенерированный ключ и алгоритм RC4, а затем требует 0,5 биткоина  за расшифровку. PClock2 даёт жертве на уплату выкупа 7 суток (168 часов). Есть предупреждение, чтобы отключили антивирус, который может удалить это ПО и помешать получить ключ дешифрования. В дикой природе PClock2 начал свою "деятельность" в апреле 2015 года. 
 

  В отличие от первой версии PCLock2 всеяден, потому что настроен на шифрование 2583 (!) файловых расширений. 

Файлы, принадлежащие вымогателю:
%APPDATA%\WinDsk\windsk.exe - исполняемый файл вымогателя;
%APPDATA%\WinDsk\windskwp.jpg - сгенерированное изображение для смены обоев на Рабочем столе;
%DESKTOP%\CryptoLocker.lnk - ярлык на исполняемый файл вымогателя;
%USERPROFILE%\enc_files.txt - список зашифрованных файлов.

PCLock2 прописывается в Автозагрузку системы аналогично первой версии:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\]
“wincl” = “%APPDATA%\WinDsk\windsk.exe”

PCLock2 сохраняет детали заражения и отсчет времени на уплату выкупа в ключе:
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\CLOCK

Степень распространённости: средняя.
Подробные сведения собираются.



Внимание!!! 

Для зашифрованных файлов есть декриптер.



EnCiPhErEd

EnCiPhErEd Ransomware

Xorist-EnCiPhErEd Ransomware

(шифровальщик-вымогатель)


 Этот крипто-вымогатель шифрует данные с помощью алгоритма XOR или TEA. Относится к семейству Xorist-вымогателей

К зашифрованным файлам добавляется расширение .EnCiPhErEd

Этимология названия: 
В названии расширения заложено слово "enciphered" (англ. "зашифровано"). 

Пример зашифрованного файла: Document.txt.EnCiPhErEd

  По завершении шифрование отображается записка с требованием выкупа HOW TO DECRYPT FILES.txt, содержащая инструкцию по уплате выкупа и получения пароля дешифровки. Она размещается в каждой папке с зашифрованными файлами. 

В одном варианте записки жертва должна отправить текстовое SMS-сообщение с ID, присвоенным компьютеру, на предложенный номер. Во втором варианте выкупа предложено перевести 2 биткоина на Bitcoin-адрес. В третьем, нужно связаться по email. 

Первый вариант записки о выкупе:
Attention! All your files are encrypted!
To restore your files and access them, please send an SMS with the text XXXX to YYYY number.
You have N attempts to enter the code.
When that number has been exceeded, all the data irreversibly is destroyed.
Be careful when you enter the code!

Перевод на русский язык:
Внимание! Все ваши файлы зашифрованы!
Для восстановления файлов и доступа к ним отправьте SMS с текстом ХХХХ на номер YYYY.
У вас есть N попыток ввести код.
При их превышении все данные необратимо удаляются.
Будьте внимательны при вводе кода!

Второй вариант записки о выкупе:
Attention! All your files are encrypted!
To restore your files and access them, please send 2 Bitcoin to adress
1PqBLxDShLCBfjV9s4QkLzb3fi9siVZqDd 
and email to j73419517739xu@163.com proof (screen or smth) of your payment.
After receiving the money, I will send you your password and decrypt instruction via email.
You have 20 attempts to enter the code.
When that number has been exceeded, all the data irreversibly is destroyed.
Be careful when you enter the code!

Перевод на русский язык:
Внимание! Все ваши файлы зашифрованы!
Для восстановления файлов и доступа к ним отправьте 2 биткоина на адрес
1PqBLxDShLCBfjV9s4QkLzb3fi9siVZqDd
и на email j73419517739xu@163.com подтверждение (скриншот) платежа.
Получив деньги, я пошлю тебе пароль и инструкции для дешифровки по email.
У вас есть 20 попыток ввести код.
При их превышении все данные необратимо удаляются.
Будьте внимательны при вводе кода!



Технические детали

Вымогатель вносит в систему ряд критических изменений, в том числе отключает восстановление системы, прописывается в Автозагрузку, чтобы выводить требования о выкупе и продолжать шифровать файлы. 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3gp, .7z, .ac3, .ape, .avi, .bmp, .cdr, .cer, .dbf, .divx, .djvu, .doc, .docx, .dwg, .flac, .flv, .gif, .gzip, .htm, .html, .ifo, .jpeg, .jpg, .kwm, .lnk, .m2v, .max, .md, .mdb, .mdf, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .odt, .p12, .pdf, .pfx, .png, .ppt, .pptx, .psd, .pwm, .rar, .tar, .torrent, .txt, .vob, .wav, .wma, .wmv, .xls, .xlsx, .zip (57 расширений).

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt
<random>.exe

Результаты анализов:
VirusTotal анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Хорошая новость! Фабиан Восар из Emsisoft смог найти Encoder Builder и создать Decrypter для этой семьи криптовымогателей.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Xorist-Vandev Ransomware - февраль 2012
другие ранние варианты - 2012-2015
Xorist (2016-2019) Ransomware  - март 2016
Xorist-EnCiPhErEd Ransomware  - май 2016
Xorist-FakeRSA Ransomware  - февраль 2017
Xorist-Zixer2 Ransomware  - апрель 2017
Xorist-TraNs Ransomware  июнь 2017
Xorist-RuSVon Ransomware  - июль 2017
Xorist-Hello Ransomware  - август 2017
Xorist-CerBerSysLock Ransomware  - декабрь 2017
Xorist-Frozen Ransomware  - февраль 2018
Xorist-XWZ Ransomware - март 2018
Xorist-TaRoNiS Ransomware  - июль 2018
Xorist-Mcafee Ransomware  - январь 2019

Xorist-Mcrypt2019 Ransomware  - июль 2019




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 22 марта 2020:
Пост на форуме >>
Расширение: .GiTeR
Записка: HOW TO DECRYPT FILES.txt
Записка о выкупе от 29 августа 2016.
Email: gitersupp@protonmail.com, giter@cock.li
BTC: 12uLgUi9A2fBuFVtC4pWjjkeAdeU6fVQrU
➤ Содержание записки: 
ATENTION!!!
I am truly sorry to inform you that all your important files are crypted.
Atention! I do not offer for free the decrypt key's, for that you have to pay 0.13 BITCOIN.
You can get bitcoin very easy on this sites:
www.localbitcoins.com
www.paxful.com
You have to create an account and to buy 0.13 BITCOIN from a seller located in your city.
Then you have to send the amount at this BTC adress: 12uLgUi9A2fBuFVtC4pWjjkeAdeU6fVQrU
After that, contact me at this email adress: gitersupp@protonmail.com or giter@cock.li
With this subject: GITER-H457342020013
After the payment you will receive the key's to decrypt your files and a tutorial
Here is another list where you can buy bitcoin:
https://bitcoin.org/en/exchanges

Обновление от 28 марта 2020:
Пост в Твиттере >>
Расширение: .ZyNoXiOn
Записка: HOW TO DECRYPT FILES.txt
Записка о выкупе от 28 августа 2016.
Email: zynoxion@protonmail.com
Результаты анализов: VT + VMR
➤ Содержание записки:
ATENTION!!!
I am truly sorry to inform you that all your important files are crypted.
Atention! I do not offer for free the decrypt key's, for that you have to pay 0.13 BITCOIN.
You can get bitcoin very easy on this sites:
www.localbitcoins.com
www.paxful.com
You have to create an account and to buy 0.13 BITCOIN from a seller located in your city.
Then you have to send the amount at this BTC address: 1F3SBmMNsQASLAt8xfD9JYDPhvb7B7d1CB
After that, contact me at this email address: zynoxion@protonmail.com
With this subject: ZYNOXION-G43829340920013
After the payment you will receive the key's to decrypt your files and a tutorial
Here is another list where you can buy bitcoin:
https://bitcoin.org/en/exchanges






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!!! 
Для зашифрованных файлов есть декриптер. 
Скачайте Xorist Decrypter >>
*
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under Xorist)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 21 мая 2016 г.

CrySiS

CrySiS Ransomware

(шифровальщик-вымогатель) 

Translation into English


  Этот крипто-вымогатель шифрует данные с помощью алгоритма Rijndael (AES-256), а затем требует от 2.5 до 3 биткоинов (до 900 евро) за расшифровку. Уплатить выкуп необходимо в течении 48 часов. CrySiS  создан и распространялся из Украины. Программным приемником CrySiS Ransomware является вымогательский проект Dharma Ransomware и некоторые другие. 


Изображение - это логотип статьи

© Генеалогия: CrySiS > Crysis XTBL, DharmaPhobos

Этимология названия:
Название получил от Crysis — популярная компьютерная игра, научно-фантастический шутер от первого лица, разработанный немецкой компанией Crytek и изданный Electronic Arts в 2007 году.  

Зашифрованные файлы получают расширение .CrySis, которое дополняется email-адресом вымогателей. Данный приём позже стал довольно популярным среди вымогателей. По данным СМИ CrySiS вместе с "продолжением" Crysis XTBL занял девятую позицию в топ-10 вымогателей 2016 года. Жертвами шифровальщика в основном стали жители России, Японии, Южной Кореи, Бразилии и других стран. 

Пример зашифрованного файла: 
desktop.ini.{dalailama2015@protonmail.ch}.CrySiS

Записка с требованием выкупа называется: How to decrypt your files.txt

Содержание записки о выкупе:
Attention! Your computer was attacked by virus-encoder.
All your files are encrypted cryptographically strong, without the original key recovery is impossible!To get the decoder and the original key, you need to to write us at the email: dalailama2015@protonmail.ch with the subject "encryption" stating your id.
Write in the case, do not waste your and our time on empty threats.
Responses to letters only appropriate people are not adequate ignore.
P.S. only in case you do not receive a response from the first email address within 48 hours please use this alternative email goldmanO@india.com

Перевод текста на русский язык:
Внимание! На ваш компьютер атаковал вирус-энкодер.
Все ваши файлы зашифрованы криптографически сильно, без оригинального ключа восстановление невозможно! Чтобы получить декодер и оригинальный ключ, вам нужно написать нам на email: dalailama2015@protonmail.ch с темой "шифрование" с указанием вашего идентификатора.
Напишите в случае, не тратьте свое и наше время на пустые угрозы.
Ответы на письма только подходящим людям неадекваты игнорируются.
P.S. только в том случае, если вы не получите ответ с первого email-адреса в течение 48 часов, пожалуйста, используйте этот альтернативный email goldmanO@india.com

Некоторые версии Crysis устанавливают своё изображение (wp.jpg или DECRYPT.jpg) в качестве обоев рабочего стола файл с тем же содержанием. 


Обои, установленные вымогателем

Текстовое сообщение вымогателя


Список файловых расширений, подвергающихся шифрованию:
Криптовымогатель шифрует ВСЕ файлы, которые не являются частью операционной системы и не находятся в критически важных папках, нужных для работы, что затрудняет возможности их восстановления. 

Файлы, принадлежащие вымогателю:
C:\Users\User\Desktop\name.exe
C:\Users\User\AppData\Local\name.exe
C:\Windows\System32\name.exe
C:\Users\User\Documents\wp.jpg или DECRYPT.jpg
C:\Users\User\Desktop\How to decrypt your data.txt
C:\Users\Name\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg

CrySis прописывается в реестре, чтобы запускаться при каждом старте системы:
» HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\System Service
» HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\System Service
» HKLM\\Control Panel\\Desktop

Известные email вымогателей: 
dalailama2015@protonmail.ch
goldman0@india.com
и другие.

Степень распространённости: высокая
Подробные сведения собираются.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

JohnyCryptor Ransomware
CrySiS Ransomware
Crysis XTBL Ransomware
Dharma Ransomware


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть дешифровщики! 
*
1) Скачать RakhniDecryptor для CrySiS >>
2) Скачать Avast Decryptor для CrySiS >>
3) Скачать ESET Crysis decryptor для CrySiS >>
*
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as CrySiS)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, BleepingComputer
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.


AxCrypter

AxCrypter Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует файлы с помощью AES-шифрования, используя возможности легитимной утилиты Axantum AxCrypt, и затем требует выкуп в размере $2500 или равнозначно в биткоинах, чтобы вернуть файлы обратно. 

© Генеалогия: EDA2 >> Memekap ⟺ Magic > AxCrypter 

К зашифрованным файлам добавляется расширение .axx
Завершив шифрование вымогатель удаляет теневые копии файлов. 

Часть текста из записки о выкупе:
I encrypt some data that I believe are important to your system.
Only your server to encrypt your data so you can bring me back again,
* .axx Extension with its own place in your home directory or disk "reserves" named
After you hide the folder, it will not be brought back to delete data by writing over the original.
If your data again working my way wish to install on your server Eders new me
Please contact via e-mail. Create your ip necessarily the subject of the e-mail you write.
I demand from you to your system cost $ 2,500. If we agree on,
I will send the necessary information in order to transfer you the money gönfer.
control the delivery of a currency that you sent me (at the latest half an hour) then your system 
I made it to connect older.
...

Перевод текст на русский язык (ужасный английский):
Я зашифровал некоторые данные, которые, как я считаю, важны для вашей системы.
Только на вашем сервере зашифрованы ваши данные, чтобы вы могли вернуть файлы в *.axx расширением из вашего домашнего каталога или "резервного" диска 
После того, как вы скроете папку, она не будет возвращена, чтобы удалить данные, написав оригинал.
Если ваши данные снова работают по моему желанию, установите на свой сервер Eders новый мне
Пожалуйста, свяжитесь с нами по email. Создайте свой ip обязательно в теме email-письма, которое вы напишете.
Я требую от вас за вашу систему сумму в 2500 долларов. Если согласны,
я пришлю необходимую информацию, куда вам передать деньги gönfer.
контролируйте доставку валюты, которую вы отправили мне (не позднее получаса), тогда ваша система
Я сделал это для подключения позже.

  Вымогательская записка довольно длинная, текст путаный, несвязный, есть турецкие слова в тексте записки (Eders, gönfer), что может указывать на турецкоязычного автора. Из полного текста записки явствует, что криптовымогатель осуществляет таргетированную атаку серверов организаций. 

Технические детали

Нет данных о массовом распространении. Скорее всего шифрование осуществляется после проникновения через незащищенную конфигурацию RDP.

➤ Я обнаружил взаимосвязь AxCrypter с Magic Ransomware из их записки о выкупе. 

Степень распространённости: единичные случаи. 
Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles. 

пятница, 20 мая 2016 г.

Bloccato

Bloccato (Italian) Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью AES-256 и требует 5 биткойнов ($2000) за расшифровку. Причем, эта сумма выкупа, уплаченного в течении 3 дней, после шифрования, потом будет уже 10 битоинов и еще 3 суток на уплату, после чего ключ дешифрования будет уничтожен. Вымогатели обещают прислать ключ в течении 3 суток после уплаты выкупа. Файлы, зашифрованные с помощью Bloccato, получают расширение .bloccato

© Генеалогия: Hidden Tear >> Bloccato (Italian)

Криптовымогатель ориентирован на итальянских пользователей, т.к. название записки о выкупе и текст написаны на итальянском языке. Слово bloccato переводится с итальянского как "блокирован". 

  Распространяется с помощью email-спама со ссылками на вредоносные сайты, через вредоносные вложения в фишинг-письма и сети общего доступа. 

  Записка с требованием выкупа и с инструкциями для уплаты выкупа LEGGI QUESTO FILE.txt  добавляется на Рабочий стол и в каждую папку с зашифрованными файлами. 

Содержание записки о выкупе:
EGREGIO AMICO, I SUOI FILES SONO STATI CRIPTATI CON UN ALGORITMO AD ELEVATA CIFRATURA
LA CHIAVE PER RIPRISTINARE I SUOI FILES È STATA MEMORIZZATA SU UN NOSTRO SERVER SEGRETO\nPER AVERLA DOVRÀ PAGARE CON 5 BITCOIN ENTRO MASSIMO 3 GIORNI
QUALORA NON DOVESSE PAGARE ENTRO I TERMINI SPECIFICATI, IL COSTO DELLA CHIAVE SALIRÀ AUTOMATICAMENTE A 10 BITCOIN
E AVRÀ SOLO ALTRE 72 ORE DI TEMPO PER PAGARE.
SE RIFIUTA DI PAGARE LA CHIAVE VERRÀ DISTRUTTA DEFINITIVAMENTE
MEDESIMO DESTINO SE PROVERÀ A RIMUOVERE O A ELIMINARE QUESTO PROGRAMMA
PER SAPERE COME FARE AD EFFETTUARE IL PAGAMENTO IN BITCOIN VADA SU QUESTO SITO: WWW.COMPRABITCOIN.IT O SU WWW.BITCOIN.ORG/IT O BISTAMP.NET
SE RISCONTRASSE DIFFICOLTÀ LA INVITO A RIVOLGERSI AD UN ESPERTO INFORMATICO PER FARSI AIUTARE
QUESTO È L'INDIRIZZO BITCOIN A CUI INVIARE IL DENARO: 1FVGnjjRNg8k7RgXMsvQpVdeRyJtHsXV6T
ENTRO 72 ORE DAL RICEVIMENTO DEL PAGAMENTO LE INVIEREMO IL CODICE,
E TUTTE LE INFORMAZIONI UTILI ALLO SBLOCCO DI TUTTI I SUOI FILES.
CERTO DI UN SUO FAVOREVOLE RISCONTRO LE PORGO I MIEI PIÙ CORDIALI SALUTI

Список файловых расширений, подвергающихся шифрованию:
.avi, .csv, .dbf, .dif, .doc, .docx, .dwg, .dxf, .eps, .fm3, .html, .jpeg, .jpg, .mdb, .mov, .odt, .pdf, .png, .pps, .ppt, .pptx, .psd, .rar .rtf, .sql, .txt, .wks, .xls, .xlsx, .xml, .zip

Файлы, принадлежащие вымогателю:
mateo-renzi.exe - исполняемый файл, названный так по имени премьер-министра Италии Матео Ренци;
LEGGI QUESTO FILE.txt  - записка о выкупе, переводится как "Прочтите этот файл".

Степень распространённости: низкая. 
Подробные сведения собираются.

четверг, 19 мая 2016 г.

Zyklon Locker

Zyklon Locker Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель создает вредоносные файлы в ключевых папках Windows, использует их для шифрования файлов пользователя, а затем требует 250 евро за расшифровку. Файлы, создаваемые этим вредоносом могут быть следующих типов: .dll, .exe, .js, .cmd, .bat, .vbs. Файлы, зашифрованные с помощью Zyklon Locker, получают расширение .zyklon. Закончив шифрование, Zyklon удаляет тома теневых копий файлов. Название Zyklon переводится с английского как "циклон". 

  Генеалогия: GNL Locker > Zyklon Locker

  Распространяется с помощью email-спама со ссылками на вредоносные сайты, DB-загрузок, через вредоносные вложения в фишинг-письма, с помощью фальшивых исполняемых файлов популярных программ, через поддельные Java или флэш-обновления и сети общего доступа. 

  Записки с требованием выкупа и с инструкциями для уплаты выкупа UNLOCK_FILES_README.html и UNLOCK_FILES_README.txt добавляются на Рабочий стол и в каждую папку с зашифрованными файлами. 

 По некоторым данным, Zyklon — это модификация уже известного GNL Locker, созданного для Германии и Нидерландов, только получившая новое расширение и название записок о выкупе. Информация проверяется. 

Список файловых расширений, подвергающихся шифрованию:
.3d, .3dm, .3ds, .3g2, .3gp, .7z, .accdb, .ai, .aif, .apk, .app, .asf, .asp, .aspx, .avi, .bat, .bin, .bmp, .cab, .cad, .cbr, .cer, .cfg, .cfm, .cgi, .com, .cpl, .crx, .csr, .css, .csv, .cue, .cur, .dat, .db, .dbf, .dds, .deb, .dem, .deskthemepack, .dll, .dmg, .dmp, .doc, .docx, .drv, .dwg, .dxf, .eps, .exe, .flv, .fnt, .fon, .gadget, .gam, .ged, .gif, .gis, .gpx, .gz, .hqx, .htm, .html, .icns, .ico, .iff, .indd, .ini, .iso, .jar, .jpg, .js, .jsp, .key, .keychain, .kml, .kmz, .lnk, .log, .m3u, .m4a, .m4v, .max, .mdb, .mdf, .mid, .mim, .mov, .mp3, .mp4, .mpa, .mpg, .msg, .nes, .obj, .odt, .otf, .pages, .pct, .pdb, .pdf, .php, .pif, .pkg, .plugin, .png, .pps, .ppt, .pptx, .prf, .ps, .psd, .pspimage, .rar, .rm, .rom, .rpm, .rss, .rtf, .sav, .sdf, .sitx, .sql, .srt, .svg, .swf, .sys, .tar, .tar.gz, .tax2014, .tax2015, .tex, .tga, .thm, .tif, .tiff, .toast, .ttf, .txt, .uue, .vcd,  .vcf, .vob, .wav, .wma, .wmv,  .wpd, .wps, .wsf, .xhtml, .xlr, .xls, .xlsx, .xml, .yuv, .zip, .zipx (157 расширений). 

Это документы MS Office, OpenOffice, файлы изображений, аудио-видео, CAD-файлы, зашифрованные легитимными программами файлы, CAD-файлы, образы, проекты, файлы других прикладных программ. 

Zyklon добавляется в автозагрузку системы, изменив одну из следующих записей реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Файлы, принадлежащие вымогателю:
Zyklon.exe - исполняемый файл;
UNLOCK_FILES_README.html - записка о выкупе в HTML-формате;
UNLOCK_FILES_README.txt - записка о выкупе в TXT-формате. 

Степень распространённости: низкая. 
Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles. 

среда, 18 мая 2016 г.

SNSLocker

SNSLocker Ransomware

(шифровальщик-вымогатель)


  Этот криптовымогатель шифрует данные с помощью алгоритма AES-256 и требует 0,66 биткойнов ($300) за расшифровку. Файлы, зашифрованные с помощью SNSLocker, получают расширение .RSNSLocked. В названии расширения сокращено название криптовымогателя — Ransomware SNSLocked. Создатель крипто-вымогателя: Saad Nabil Soufyane. Отсюда его аббревиатура SNS. 


© Генеалогия: EDA2 >> SNSLocker

Написан на .Net Framework 2.0, с популярными библиотеками Newtonsoft.Json и MetroFramework UI. 

  Записка с требованием выкупа и с инструкциями для уплаты выкупа устанавливается в качестве обоев Рабочего стола ПК и показывается как уведомления при загрузке системы. В качестве вымогательских обоев, видимо, используется набор картинок, т.е. у разных пострадавших они могут быть разные. Их цель — шокировать жертву и ускорить уплату выкупа.  
 

  Распространяется SNSLocker с помощью email-спама, фишинг-рассылок, эксплойтов на зараженных сайтах, с помощью сетей общего доступа, в том числе с помощью кейгенов, активаторов и краков, а также как отдельные файлы SNSLocker.exe и SNSLOcker2.exe

Адрес C&C-сервера базируется в Германии и после того, как SNSLocker подключается к нему, то посылает следующую информацию с зараженного ПК:
- ID машины жертвы (8 символов, например, yas9yc92);
- имя компьютера;
- имя пользователя;
- публичный IP-адрес;
- MAC-адрес;
- дата шифрования.

Закончив шифрование файлов SNSLocker открывает окно-записку с требованием выкупа и инструкцией для расшифровки файлов, а также сообщает жертве присвоенный ID машины

 

Список файловых расширений, подвергающихся шифрованию:
 .1pa, .3dm, .3g2, .3gp, .aaf, .aep, .aepx, .aet, .aif, .als, .as3, .asf, .asx, .avi, .bik, .bmp, .bps, .c, .cal, .cdr, .cdt, .cdx, .cgn, .cis, .clk, .cmx, .cnt, .cpp, .cpt, .cpx, .cs, .csl, .csv, .cur, .die, .db, .dbf, .der, .dies, .doc, .docb, .docm, .docx, .dotm, .dotx, .drw, .ds4, .dsf, .dwg, .dxf, .efx, .eps, .fim, .fla, .flv, .fmv, .fpx, .fx0, .fx1, .fxr, .gem, .gif, .glas, .h, .höchste, .icbm, .idml, .iff, .iif , .img, .indb, .indd, .indl, .indt, .inx, .iso, .java, .jpeg, .jpg, .js, .klasse, .klopfen, .lgb, .m3u, .m3u8, .m4u, .mac, .max, .mdb, .met, .mitte, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .mx0, .nap, natter, .nd, .obdachlos, .out, .pcd, .pct, .pcx, .pdf, .pfb, .php, .pic, .plb, .plt, .pmd, .png, .pot, .potx, .pp4, .pp5, .ppam, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prn, .prproj, .ps, .psd, .psp, .ptb, .punkt, .py, .qbb, .qbi, .qbm, .qbo, .qbp, .qbw, .qbx, .qby, .qpd, .qsm, .qss, .qst, .qwc, .rar, .raw, .roh, .rb, .rif, .rtf, .rtp, .sct, .ses, .set, .shw, .sldm, .sldx, .sql, .svg, .swf, .tga, .tif, .tiff, .tlg, .ttf, .txt, .v30, .vcf, .vob, .vsd, .wanderwege, .wav, .webm, .wi, .wk3, .wk4, .wma, .wmf, .wmv, .wpd, .wpg, .wps, .xcf, .xla, .xlam, .xii, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xpm, .xqx, .zu (204 расширения). 
В список расширений у некоторых исследователей вкрались повторы одних и тех же расширений. Я убрал повторы и пересчитал количество расширений. Их оказалось не 229, а 204. Список перед вами. 

Примечательно, что если размер файла больше, чем нужно шифровальщику по умолчанию, то используются функции SplitFileBasedOnSize и SizeSplit, призванные разбить файл на равные части, которым добавляется расширение .RSplited. Вероятно, что потом файл всё-таки шифруется, перезаписывается и расширение заменяется на .RSNSlocked


По данным TrendMicro вымогатель атаковал пользователей по всему миру, отдавая предпочтение жертвам из США, среди которых и оказалось больше всего пострадавших.
Еще примечательно, что создатели SNSLocker забыли удалить из кода информацию о собственном сервере. Видимо, в целях сэкономии, они вместо выделенного сервера держали свой управляющий сервер у провайдера бесплатного виртуального хостинга, который оперативно отреагировал на запрос экспертов Trend Micro и заблокировал источник вредоносов. Также оператор SNSLocker использовал легитимный шлюз для приема платежей. Пока командный сервер еще работал, исследователи воспользовались учетными данными из кода SNSLocker и получили доступ к панели управления шифровальщиком, в том числе ко всей статистике и ключам дешифрования. 

Исполняемый файл, чтобы не быть замеченным, может менять имя:
[random_name].exe
ransomware.exe
svchost.exe
notepad.exe
Your Confirmation.exe
Receipt.exe

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Сетевые подключения:
хттп://saad.eu5.org/getinfo.php (C&C)
хттпs://i.imgur.com/VRJBpep.jpg (загружаемая картинка)

Степень распространённости: высокая.
Подробные сведения собираются.



 Read to links: 
 Write-up on BC
 ID Ransomware
 TrendMicro blog (added much later)
 *

 Thanks: 
 Lawrence Abrams of BC
 Michael Gillespie
 *
 *
 

вторник, 17 мая 2016 г.

777, Seven Legion

777 Ransomware

Legion (Seven Legion) Ransomware

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот крипто-вымогатель шифрует файлы, используя алгоритм XOR или аналог, а затем требует выкуп $800 в Bitcoins, чтобы вернуть файлы сегодня, и $1000 — завтра утром. Название дано по добавляемому расширению, другие названия: Sevleg или Seven legion. 

  К зашифрованным файлам добавляется расширение .777 или .legion, а его имя модифицируется согласно установленной схеме: 
FileName.[nativefiletype]_[timestamp]_$[emailtocontact]$.777
Имя файла.[расширение]_[число-месяц-год-время]_$[email для связи]$.777

  Таким образом файл Sales_May_2016.xls в зашифрованном виде принимает вид 
Sales_May_2016.xls_18-05-2016-08-32-40_$seven_legion@india.com$.777

  Если шифрование было прервано, то у пострадавших могло не оказаться записки с требованием выкупа. 

  Примечательно, что вредонос (или его прототип) известен в дикой природе с сентября 2015 г.  

  Сейчас пострадавшие получили записку о выкупе Read_this_file.txt:
FOR DECRYPT FILES
SEND ONE FILE IN E-MAIL
kaligula.caesar@aol.com

или 
FOR DECRYPT FILES
SEND ONE FILE IN E-MAIL
ninja.gaiver@aol.com

Замеченные email вымогателей: 
ninja.gaiver@aol.com
kaligula.caesar@aol.com
seven_legion@india.com

  Список файловых расширений, подвергающихся шифрованию: 
.1cd, .3ds, .3gp, .4db, .4dd, .7z, .7zip, .a3d, .abf, .accdb, .accdt, .aep, .aes, .ai, .alk, .arj, .asm, .avi, .axx, .bak, .bpw, .cdr, .cdx, .cer, .cpt, .crp, .crt, .csv, .db, .db3, .dbf, .dbx, .der, .doc, .docm, .docx, .dot, .dotm, .dotx, .drc, .dwfx, .dwg, .dwk, .dxf, .eml, .enz, .fbf, .fbk, .fbw, .fbx, .fdb, .flk, .flka, .flkb, .flkw, .flwa, .gbk, .gdb, .gho, .gpg, .gxk, .gzip, .hid, .hid2, .idx, .ifx, .iso, .iv2i, .jpeg, .jpg, .k2p, .kdb, .kdbx, .key, .keystore, .ksd, .ldf, .m2v, .m3d, .max, .mdb, .mdf, .mkv, .mov, .mp3, .mpd, .mpeg, .mpp, .myo, .nba, .nbd, .nbf, .nrw, .nsf, .nv2, .nx1, .odb, .odc, .odp, .ods, .odt, .ofx, .old, .orf, .ost, .p12, .pdb, .pdf, .pef, .pfx, .pgp, .ppj, .pps, .ppsx, .ppt, .pptm, .pptx, .prproj, .psd, .pst, .psw, .ptx, .pz3, .qba, .qbb, .qbo, .qbw, .qfx, .qic, .qif, .r3d, .rar, .raw, .rfp, .rpt, .rsa, .rtf, .rwl, .rx2, .saj, .sbs, .sdc, .sdf, .sef, .sko, .sldasm, .sldprt, .sn1, .sna, .spf, .sql, .sqlite, .sr2, .srf, .srw, .sxc, .tar, .tax, .tbl, .tc, .tib, .tis, .txt, .wdb, .wps, .x3f, .xbrl, .xls, .xlsm, .xlsx, .xml, .zip (172 расширения).

Список игнорируемых расширений:
dll, exe, msi, 777 (зашифрованные). 

Файлы размером меньше 100 байт тоже игнорируются.

Вредонос изменяет системные файлы, удаляет или портит теневые копии, шифрует файлы не только на локальных, но и на сетевых дисках. 

Степень распространённости: относительно низкая.
Подробные сведения собираются. 


Внимание!!! 

Для зашифрованных файлов есть декриптер.



Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *